Sicherheitsforscher des Chaos Computer Clubs (CCC) haben erfolgreich die gängigen Lösungen für videobasierte Online-Identifizierung (Video-Ident) überwunden. Dabei haben sie sich unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft. Der CCC fordert, diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht.
Im Video-Ident-Verfahren können Nutzer ihre Identität im Internet nachweisen, indem sie ein Video von sich und ihrem Ausweisdokument an einen Video-Ident-Anbieter übertragen und dort durch einen Mitarbeiter oder eine Software prüfen lassen. Anschließend kann der so Identifizierte beispielsweise Mobilfunkverträge abschließen, EU-weit rechtsverbindlich unterschreiben (QES), Kredite beantragen und Bankkonten anlegen – oder eine elektronische Patientenakte (ePA) eröffnen.
Eine eigens ersonnene Choreographie soll beim Video-Ident-Verfahren anhand von Indizien wie im Videobild sichtbaren Hologrammen oder der Mimik zwei entscheidende Fragen beantworten: Ist der Ausweis echt? Ist die Person vor der Kamera echt? Die Video-Ident-Anbieter behaupten, ihre Lösungen würden Betrugsversuche sicher erkennen.
Dass dieses Versprechen nicht eingehalten wird, zeigt Martin Tschirsich, ein Sicherheitsforscher des CCC, in seinem Bericht, den wir veröffentlichen. Tschirsich demonstrierte bereits 2019, wie Unbefugte in den Besitz von Gesundheitskarten, Arzt- und Praxisausweisen gelangen konnten.
Nun legt er ausführlich dar, wie es ihm mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe gelungen ist, mittels „videotechnischer Neukombination mehrerer Quell-Dokumente“ sechs Video-Ident-Lösungen zu überlisten und den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln. Bis heute blieben diese Angriffe unerkannt.
Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln.
Da Video-Ident seit 2021 für den Zugriff auf ePatientenakte und inzwischen auch eRezept im Einsatz ist, konnte Tschirsich im Prinzip für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (ePA) eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern.
In dem im Bericht beschriebenen Fall hat Tschirsich Zugriff auf die Gesundheitsdaten einer eingeweihten Testperson erlangt, „darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen“.
Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen. Deren Ausrede lautete: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Einen konkreten Sicherheitsvorfall liefert der CCC hiermit gern und meldet somit Handlungsbedarf an.
Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Daher ist das Risiko des weiteren Missbrauchs als hoch einzuschätzen.
Nachdem die Anbieter in der Vergangenheit auf die neue Wunderwaffe „KI-Prüfung“ verwiesen, konstatiert Tschirsich: „Die Annahme, dass moderne Video-Ident-Verfahren die bekannten Schwächen ‚durch den Einsatz von künstlicher Intelligenz‘ beheben können, hat sich in der Praxis als falsch herausgestellt.“
„Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“, sagte Tschirsich. Zudem müssen Verantwortliche nun abwägen, wie mit bereits durchgeführten Identitätsfeststellungen umzugehen ist.
Nachdem die Aufsichtsbehörden der betroffenen Dienstleister am Anfang der Woche über die Sicherheitsprobleme informiert wurden, hat die gematik inzwischen reagiert und „untersagt bis auf Weiteres Nutzung von Video-Ident-Verfahren in der Telematikinfrastruktur“.
Besonders bitter ist die jetzige Situation mit Blick auf die vergangenen Jahre: Zuerst wird der teure elektronische Personalausweis mit dem Versprechen eingeführt, einen besseren Schutz vor Identitätsdiebstahl im Internet zu schaffen. Das Projekt erwies sich als Rohrkrepierer. Kaum jemand nutzt auch nach zehn Jahren die sichere Online-Identifizierung, die der Personalausweis beinhaltet und die jeder einzelne Besitzer auch mit einem vervielfachten Preis bezahlt hat.
Stattdessen kam ein nun nachgewiesen unsicheres Video-Ident-Verfahren mit eklatanten Lücken zum Einsatz, gegen das auch grundsätzliche Bedenken bestehen: Im Rahmen der Identitätsüberprüfung fallen bei den Dienstleistern beispielsweise biometrische Informationen an. Ein selektives Offenbaren nur der für den Identifikationsvorgang notwendigen Informationen, welches im elektronischen Personalausweis von Anfang an eingebaut wurde, ist hier nicht einmal vorgesehen. Denn mit dem Personalausweis kam zwar auch eine zwangsweise Erfassung biometrischer Daten, zum Identitätsnachweis im Geschäftsverkehr werden sie aber gerade nicht transferiert.
Es wird Zeit für ein Ende der Beweislastumkehr: Nicht die Betroffenen sollten Schwächen der Systeme nachweisen müssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen.
Die Erfüllung bestehender und neuer Anforderungen sollte künftig durch unabhängige Tests unter realen Angriffsbedingungen regelmäßig nachgewiesen werden. Insbesondere bedarf jede Aussage zur Wirksamkeit von Gegenmaßnahmen gesicherter Evidenz. Die bloße Behauptung, man habe etwas KI drübergesprenkelt, darf nicht mehr ausreichen.
Es empfiehlt sich zudem, bereits die Empfehlungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu beachten, bevor in einfacher Weise durchführbare Angriffe praktisch demonstriert werden. Dieser hatte nämlich den Einsatz von Video-Ident zur Absicherung von Gesundheitsdaten überall dort für datenschutzrechtlich unzulässig erklärt, wo sehr hoher Schutzbedarf besteht – und das bereits 2020.